Utiliser les espaces de noms des éléments

Lorsque vous recherchez un élément dans Chronicle, par exemple à l'aide d'une adresse IP ou d'un nom d'hôte, vous pouvez voir toute l'activité associée à cet élément. Parfois, plusieurs éléments sont associés à la même adresse IP ou au même nom d'hôte (par exemple, à partir d'attributions d'adresses IP RFC 1918 qui se chevauchent sur différents segments de réseau).

La fonctionnalité d'espace de noms des éléments vous permet de classer des catégories d'éléments partageant un environnement réseau ou espace de noms commun, puis d'effectuer des recherches sur ces éléments dans l'interface utilisateur Chronicle en fonction de leur espace de noms. Par exemple, vous pouvez créer des espaces de noms pour les réseaux cloud, la segmentation entre sociétés et production, les réseaux de fusion et d'acquisition, etc.

Créer un espace de noms et l'attribuer aux données

Tous les éléments disposent d'un espace de noms défini automatiquement ou configuré manuellement. Si aucun espace de noms n'est fourni dans les journaux, un espace de noms par défaut est associé aux éléments marqués comme non tagués dans l'interface utilisateur Chronicle. Les journaux ingérés dans Chronicle avant la compatibilité de l'espace de noms sont implicitement libellés comme faisant partie de l'espace de noms par défaut ou sans tag.

Vous pouvez configurer les espaces de noms à l'aide des éléments suivants:

• Version Linux de Chronicle Forwarder.
• Certains analyseurs de normalisation (par exemple, pour Google Cloud) peuvent renseigner automatiquement l'espace de noms (pour Google Cloud, en fonction des identifiants du projet et du VPC).
• API Chronicle Ingestion :
• Gestion des flux Chronicle

Espaces de noms dans l'interface utilisateur Chronicle

L'espace de noms est associé à vos éléments dans l'interface utilisateur Chronicle, en particulier lorsqu'il existe une liste d'éléments, par exemple:

• UDM Search
• Analyse des journaux bruts
• Insights pour l'entreprise
• Vues de détection

Barre de recherche

Lorsque vous utilisez la barre de recherche, les espaces de noms associés à chaque élément s'affichent. Lorsque vous sélectionnez un élément dans un espace de noms spécifique, celui-ci s'ouvre dans la vue d'élément et affiche les autres activités associées à ce même espace de noms.

Tout élément qui n'est pas associé à un espace de noms est associé à l'espace de noms par défaut. Toutefois, l'espace de noms par défaut ne s'affiche pas dans des listes telles que celle présentée ci-dessous pour la barre de recherche Chronicle.

Barre de recherche

Vue des composants

Dans la vue de l'élément, l'espace de noms est indiqué dans le titre de l'élément en haut de la page. Si vous sélectionnez le menu déroulant en cliquant sur la flèche vers le bas, vous pouvez sélectionner les autres espaces de noms associés à l'élément.

Vue des éléments avec espaces de noms

Affichages des adresses IP, des domaines et des hachages

Dans l'interface utilisateur Chronicle, les espaces de noms sont affichés partout où un élément est référencé (à l'exception de l'espace de noms par défaut ou sans tag), y compris dans les vues d'adresse IP, de domaine et de hachage.

Par exemple, dans la vue des adresses IP (comme illustré ci-dessous), les espaces de noms sont inclus à la fois dans l'onglet de l'élément et dans le graphique de prévalence.

Vue des adresses IP avec espaces de noms

Étiquettes d'ingestion

Pour affiner davantage votre recherche, vous pouvez utiliser des étiquettes d'ingestion afin de configurer des flux distincts. Pour obtenir la liste complète des étiquettes d'ingestion compatibles, consultez Analyseurs par défaut compatibles.

Exemples: trois façons d'ajouter un espace de noms aux journaux

Les exemples suivants illustrent trois façons différentes d'ajouter un espace de noms aux journaux que vous ingérez dans votre compte Chronicle.

Attribuez un espace de noms à l'aide du redirecteur Chronicle.

Vous pouvez configurer un espace de noms en l'ajoutant au fichier de configuration du système de transfert Chronicle en tant qu'espace de noms spécifique au redirecteur ou spécifique au collecteur. L'exemple de configuration de redirecteur suivant illustre les deux types:

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

Comme le montre cet exemple, les journaux provenant de WINEVTLOG incluent la balise d'espace de noms FORWARDER. Les journaux provenant de NIX_SYSTEM incluent la balise d'espace de noms CORPORATE.

Cela définit un espace de noms global sur le collecteur de journaux. Si votre environnement contient une combinaison de journaux appartenant à plusieurs espaces de noms et que vous ne pouvez pas segmenter ces machines (ou que cela soit dû à une conception), nous vous recommandons de créer plusieurs collecteurs pour la même source de journaux qui filtre les journaux dans leur espace de noms respectif à l'aide d'expressions régulières.

Attribuer un espace de noms à l'aide de l'API d'ingestion

Vous pouvez également configurer un espace de noms lorsque vous envoyez vos journaux via le point de terminaison unstructuredlogentries dans l'API d'ingestion Chronicle, comme illustré dans l'exemple suivant:

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

Dans cet exemple, l'espace de noms est un paramètre de corps de l'appel POST de l'API. Les journaux provenant de BIND\_DNS transfèrent leurs données de journal avec la balise d'espace de noms FORWARDER.

Attribuer un espace de noms à l'aide de la gestion des flux Chronicle

Comme indiqué dans le Guide de l'utilisateur concernant la gestion des flux, la gestion des flux Chronicle vous permet de configurer et de gérer différents flux de journaux dans votre locataire Chronicle.

Dans l'exemple suivant, les journaux Office 365 seront ingérés avec la balise d'espace de noms FORWARDER:

Figure 1: Configuration de la gestion des flux avec la balise d'espace de noms FORWARDER